Cookie Policy: cosa prevede?

Cookie policyCome tutti sappiamo il Garante della privacy ha cerchiato di rosso la data del 2 giugno 2015 per l’adeguamento dei portali web all’informazione all’utente riguardate i Cookie installati automaticamente sul dispositivo del visitatore. Molti i dubbi e le incertezze riguardo l’adeguamento dei siti che hanno portato ad un caos generale negli addetti ai lavori. Andiamo a vedere nel dettaglio, e in parole semplici, cosa prevede la norma.

Per i Cookie Tecnici:

  • link all’informativa estesa su tutte le pagine del sito
  • è necessario dare l’informativa (art. 13 del Codice privacy

Per i Cookie di profilazione e/o di terze parti

  • Banner con informativa breve e richiesta consenso preventivo dei relativi cookie, in quanto il consenso deve essere formale
  • I cookie di profilazione devono essere bloccati preventivamente oppure, seppur non rappresenta un documento ufficiale del Garante della privacy, il titolare del sito potrebbe optare per l’alternativa indicata a pag. 6 del kit di implementazione diffuso dalle Associazioni di categoria
  • il banner con l’informativa breve DEVE potersi distinguere dal resto del sito
  • DEVE essere PRESENTE su TUTTO il sito (fino a quando non si da il consenso)
  • Deve indicare se utilizza cookie di profilazione per messaggi pubblicitari in linea con le sue preferenze raccolte durante la navigazione in rete ok
  • Deve indicare se utilizza cookie di terze parti ok
  • Deve contenere link all’informativa estesa e soprattutto indicare che nell’informativa estesa viene data la possibilità di selezionare quali cookie autorizzare o meno ok
  • Deve indicare che con il proseguimento della navigazione (sullo scroll come consenso ho dei dubbi in quanto l’utente potrebbe non accorgerse) premendo su un apposito elemento del banner si da il consenso all’utilizzo dei cookie
  • la selezione/pressione del link per la cookie policy non deve considerarsi come consenso all’utilizzo dei cookie

Informativa ESTESA:

  • occorre dare spiegazione su cosa siano i cookie esatto
  • l’informativa DEVE descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito esatto
  • deve consentire all’utente di selezionare/deselezionare i singoli cookie (a mio avviso tranne i cookie strettamente tecnici per utilizzare correttamente il sito)

i cookie tecnici NON possono essere deselezionati altrimenti il sito non funzionerebbe, quindi se il sito utilizza solo cookie tecnici non è necessario fornire questa possibilità all’utente. Per i tecnici non è necessario il consenso ma solo informativa. 

  • deve contenere i link / guide per modificare le impostazioni dei propri browser esatto
  • deve contenere i link di policy privacy/cookie ed eventualmente se fosse possibile di opt-out dei vari servizi di terze parti
    esatto.
  • Deve specificare i tipi di cookie di profilazione utilizzati dal sito, sia di prima che di terza parte, ed indicare i link che indirizzano l’utente al sito del terze per eventuale deselezione.

Pagamento dei diritti di segreteria (150€):

  • Al garante si deve notificare e quindi pagare i diritti di segreteria SOLO nel caso in cui si utilizzino COOKIE di PROFILAZIONE PROPRI ovvero cookie del titolare atti all’invio di messaggi publicitari in linea con le preferenze durante la navigazione dell’utente (pagamento che può avvenire tramite questo linkhttps://web.garanteprivacy.it/rgt/NotificaTelematica.php);
  • NON sono da pagare nel caso in cui i COOKIE siano di TERZE PARTI.
  • NON sono da pagare e non vi è alcun obbligo di notifica al garante in caso di cookies di terze parti

Per quali siti si Applica la normativa Europea

La normativa Europea che ogni stato membro ha recepito va applicata tenendo conto dei seguenti casi:

  1. dove si svolge l’attività prevalente che sottostà al sito;
  2. questa cosa la si può dedurre dalla partita iva e dalla sede legale dell’attività;

Art. 5. (Codice privacy) Oggetto ed ambito di applicazione 1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato. 2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai click here fini dell’applicazione della disciplina sul trattamento dei dati personali. 3. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.

Non centra nulla dove sia hostato il sito, per cui fermo restando i due punti di cui sopra se il sito è Hostato al Polo Sud, la normativa va comunque applicata.

Quesiti:

1) Ogni lingua del sito deve avere la policy corretta (quindi se il sito è monolingua basta la policy solo in italiano, al contrario se è multilingua, deve essere tradotta per ogni relativa lingua)

L’utente deve essere informato. Se il tuo sito ha solo contenuti in italiano perché è rivolto solo ad italiani la tua policy sarà in italiano. Se il tuo sito usa diverse lingue e i contenuti sono puntualmente tradotti nelle rispettive lingue, significa che i tuoi utenti sono anche stranieri e quindi devi informare anche loro traducendo i testi.
2) Il sito rilascia dei cookie? allora devi mettere in regola il sito. Il sito NON rilascia cookie (ma ne sei sicuro?) allora sei esente (ricordati però la privacy che quella ci deve essere SEMPRE se hai anche solo un form di contatto)

Non sono un tecnico, ma credo che ogni sito web rilasci almeno 1 cookie tecnico per poter funzionare. In questo caso, trova applicazione la normativa. Discorsi form di contatto etc rientrano in altri ambiti non inerenti alla materia cookie, ma alla privacy. Gli adempimenti anche in quel caso (non solo per il form contatto) sono indispensabili perché le sanzioni previste sono analoghe a quelle previste per i cookie (oltre anche a sanzioni penali).
3) Analytics sembrerebbe che anonimizzarlo lo renda un cookie tecnico in quanto “dovrebbe” raccogliere dati in forma aggregata ovvero numero di visitatori, pagine visitate e modo/browser/os con cui si naviga quindi come da punto 1 lettera a il cookie analytics anonimo “dovrebbe” essere considerato come tecnico

Se si ha la certezza che le finalità sono quelle di cui sopra (anonimi, forma aggregata etc), confermo che è da considerarsi tecnico. In caso contrario è un non tecnico.
4) (Fare attenzione a script che modificano anche il tag

5) nel caso di iframe o altro, dovreste assicurarvi che non carichino cookie, altrimenti sarebbero da inibire fino al consenso (nel caso di youtube => suggerisco l’opzione “Abilita modalità di privacy avanzata” in quanto non memorizza nessun dato sino alla visione del video, oppure testare www.youtube-nocookie.com)

6) Google Maps, utilizzando le nuovi API non genera cookie =>https://developers.google.com/maps/documentation/javascript/examples/marker-simple

7) Per capire se effettivamente un sito deve sottostare alla Cookie Law occorre identificare la SEDE del Trattamendo dei Dati, non importa se l’host è in italia/Europa o fuori…. se la sede è in italia deve essere messo a norma, se la sede è in Brasile ad esempio dovrà sottostare ad eventuali norme brasiliane.

Risposto sopra
8) Come tener traccia (documentazione) dei consensi degli utenti? tramite cookie e penso sia inteso con il cookie tecnico che non ti fa comparire più il banner con l’informativa breve

9) le sansioni arrivano dirette o si riceve prima una notifica?

non ti arriva direttamente la sanzione. Ti arriverà una comunicazione da parte del Garante il quale ti chiederà delucidazioni e chiarimenti circa il trattamento dei dati personali effettuato all’interno del tuo sito. Non credo proprio che si limiterà ad un mero controllo dei cookie, ma chiederà tutta la documentazione lato privacy (in generale) e lato cookie. Avrai un termine per rispondere. Dopodichè il garante valuterà le tue risposte, eventualmente chiederà integrazione di documenti e poi si regola di conseguenza
10) NON prendete in considerazione siti online, per fare dei paragoni, ci possono essere n motivi per il quale sembrano non essere a norma:

  • attendono il 2 giugno
  • sono pronti in ambiente di test e pubblicheranno tutto all’ultimo
  • attendono in quanto considerano gli eventuali blocchi troppo rischioso (perderebbero introiti o altro)
  • hanno interpretato in modo differente dal nostro il provvedimento
  • varie ed eventuali
(fonte: http://on.fb.me/1Jgw0XI)
Se ti è piaciuto questo articolo, considera il fatto di lasciare un commento oppure iscriverti ai feed Rss feed per ricevere gli articoli futuri .